9to5Mac Security Biteは、Apple統合プラットフォームであるMosyleが独占的に提供しています。Appleデバイスをすぐに使用でき、企業にとって安全なものにすることが私たちの使命です。管理とセキュリティに対する独自の統合アプローチは、完全に自動化された強化とコンプライアンス、次世代EDR、AI搭載ゼロトラスト、独自の権限管理のための最先端のApple固有のセキュリティソリューションと、市場で最も強力で最新のApple MDMを組み合わせています。その結果、完全に自動化されたApple統合プラットフォームが誕生しました。現在45,000を超える組織から信頼されており、何百万台ものAppleデバイスを手間をかけずに手頃な価格ですぐに使用できます。今すぐ延長トライアルをリクエストして、MosyleがAppleと連携するために必要なすべてである理由を確認してください。

先週、Appleデバイス管理ソフトウェア企業として人気のJamfのセキュリティ研究部門から、iOSとmacOSに深刻な脆弱性（現在はパッチ適用済み）が見つかったという興味深いレポートを受け取りました。この発見は当初は非公開でしたが、本日ようやくお伝えできるようになりました。

Jamf Threat Labs は、iOS および macOS 上の Apple の iOS 透明性、同意、制御 (TCC) サブシステムに重大な脆弱性を発見しました。この脆弱性により、悪意のあるアプリが通知やユーザーの同意プロンプトをトリガーすることなく、まったく気付かれずに機密性の高いユーザーデータにアクセスできる可能性があります。

Appleのエコシステム全体において、TCCは非常に重要なセキュリティフレームワークとして機能しており、個々のアプリからの機密データへのアクセス要求をユーザーに許可、制限、または拒否するよう促します。アプリケーションを初めて起動する際には、これらのプロンプトが表示される可能性があります。しかし、この制御メカニズムが機能しなくなると、TCCバイパスの脆弱性が発生する可能性があります。これにより、アプリケーションがユーザーの明示的な同意や認識なしに個人情報にアクセスできるようになる可能性があります。

新たに発見された脆弱性（CVE-2024-44131）は、Files.appおよびFileProvider.frameworkのシステムプロセスに影響を与え、写真、GPS位置情報、連絡先、健康データなどのユーザーの個人情報が漏洩する可能性があります。さらに、Jamf社によると、悪意のあるアプリケーションがユーザーのマイクやカメラにアクセスする可能性もあるとのことです。この脆弱性は、完全に検知されないまま実行される可能性があります。

仕組み

Jamfの研究チームは、iOS内でのファイル操作の処理方法を悪用するシンボリックリンクが、潜在的なバイパス機能の基盤となっていることを発見しました。ファイルのコピープロセスの途中にシンボリックリンクを戦略的に挿入することで、悪意のあるアプリはTCCプロンプトをトリガーすることなく、ファイルの移動を傍受してリダイレクトすることが可能です。

Jamf Threat Labsのレポートでは、「ユーザーがFiles.app内でファイルを移動またはコピーすると、バックグラウンドで動作する悪意のあるアプリがこれらの操作を傍受し、アプリの管理下にある場所にファイルをリダイレクトする可能性があります」と説明されています。「fileproviderdの昇格された権限を利用することで、悪意のあるアプリはTCCプロンプトをトリガーすることなく、ファイルの移動やコピーを乗っ取ることができます。このエクスプロイトは瞬く間に発生し、エンドユーザーには全く検知されません。」

この脆弱性の最も憂慮すべき点は、データへのステルスアクセスの可能性です。TCCプロンプトは表示されないため、ユーザーは自分のデータがアクセスされたり、攻撃者が管理するディレクトリに移動されたりしていることに気づきません。

特に脆弱なのはiCloudに保存されたファイル、特に/var/mobile/Library/Mobile Documents/のようなディレクトリに保存されているファイルです。ここに保存されている写真やファイルに加えて、WhatsApp、Pages、その他のクラウド同期アプリケーションのデータも含まれる可能性があります。

この脆弱性が実際に悪用されていたかどうかは不明です。JamfはAppleに速やかに報告し、Appleは9月にiOS 18とmacOS 15の初期リリースで修正プログラムを適用したと述べています。

Jamf Threat Lab の完全な調査結果は、こちらでご覧いただけます。

Appleのセキュリティに関する詳細

• 新しくリリースされたアプリでは、たった1ドルの1回限りの料金で、iPhoneを定期的にスキャンして、携帯電話のほぼすべてのデータにアクセスできるPegasusスパイウェアを検出できます。
• Moonlock Lab は 2024 年の脅威レポートを発表し、ChatGPT などの AI ツールがマルウェア スクリプトの作成にどのように役立っているか、MaaS (Malware-as-a-Service) への移行、および社内データから確認したその他の興味深い統計を詳しく説明しました。
• Appleのパスワードアプリに、Mac用のFirefox拡張機能が登場しました。興味深いことに、Redditのスレッドによると、この拡張機能はサードパーティの開発者によって作成されたようです。しかし、Appleが自社のブランドと名前でこの拡張機能を買収したようです。
• Mosyleは、 9to5Macに対し、新たなMacマルウェアローダーファミリーの詳細を独占公開しました。Mosyleのセキュリティ研究チームは、これらの新たな脅威が非伝統的なプログラミング言語で記述されており、検出を回避するために複数の巧妙な手法を用いていることを発見しました。

Follow Arin: Twitter/X, LinkedIn, Threads

havebin.com を Google ニュース フィードに追加します。